Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : avis d’expert, semaine du 6 au 12 septembre

septembre 2010 par CERT-XMCO

- Date : 14 Septembre 2010

- Gravité : Moyenne

- Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Une vulnérabilité 0day au sein d’Adobe Reader est activement exploitée sur Internet (bulletin de sécurité Adobe APSA10-02 [1]). Aucun correctif pour Adobe Acrobat ou Reader n’est actuellement disponible. Les éditeurs antivirus ont publié des signatures pour ces fichiers. Le CERT-XMCO recommande aux RSSI de s’assurer que leur passerelle antivirus scanne bien les fichiers PDF et que les signatures sont à jour (Symantec signature 20101.1.1.7 "Bloodhound.PDF !gen1" ; McAfee signature 5.400.0.1158 "Exploit-PDF.ps.gen" ; TrendMicro signature 9.120.0.1004 "TROJ_PIDIEF.WM").

* Résumé des évènements majeurs :

- Vulnérabilités :

À la suite de la découverte [2] d’un PDF malveillant contenant un code d’exploitation, Adobe ainsi que plusieurs chercheurs ont émis une alerte de sécurité [3]. En effet, cette faille permet de compromettre un système à distance via l’ouverture d’un PDF contenant une police de caractères spécialement conçue afin de corrompre le champ "uniqueName" d’une table "SING". L’ouverture d’un tel document permet à un pirate de prendre le contrôle à distance d’un système. De plus, les recherches effectuées ont montré que l’attaque était complexe. Le document PDF contient plusieurs pages incluant un code d’exploitation propre à chaque version du logiciel. Par ailleurs, le fichier exécutable installé est signé numériquement [4] avec la clef privée correspondant à un certificat appartenant à la banque américaine "Vantage Credit Union".

Un code d’exploitation [5] permettant d’exploiter une faille de sécurité [6] présente dans les versions antérieures à l’Update 19 de Java 6 a été rendu public. La faille concerne la désérialisation d’un objet "RMIConnectionImpl" dans un contexte privilégié, afin de permettre à un attaquant de prendre le contrôle d’un système. La vulnérabilité nécessite qu’un pirate incite un internaute à visiter une page internet malveillante contenant un Applet Java spécialement conçu. Le CERT-XMCO recommande de mettre à jour la machine virtuelle Java [7].

Un chercheur a publié une preuve de concept relative à une vulnérabilité [8] présente au sein d’Internet Explorer. Celle-ci permettra à un pirate d’accéder et de manipuler à distance des informations sensibles via l’utilisation de la directive CSS "@import". La faille serait connue de Microsoft depuis 2008...

Plusieurs autres codes d’exploitation ont été rendus disponibles dans le cadre du mois des vulnérabilités Abysssec. Parmi les logiciels vulnérables ciblés, Movie Maker (MOAUB #04 [9] / MS10-016 [10]), le codec MPEG-Layer 3 de Windows (MOAUB #05 [11] / MS10-026 [12]), HP OpenView (MOAUB #06 [13]), Novell Netware FTP (MOAUB #07 [14]), MS Visio (MOAUB #08 [15] / MS10-028 [16]), Firefox (MOAUB #09 [17] / MFSA2010-30 [18]), MS Office Excel (MOAUB #10 [19] / MS10-038 [20]), MS Office Word (MOAUB #11 [21] / MS10-056 [22]) et enfin Adobe Reader (MOAUB #12 [23] / APSB10-15 [24]). Le CERT-XMCO recommande l’installation de tous les correctifs disponibles pour ces anciennes failles de sécurité.

- Correctifs :

Microsoft a annoncé [25] que son prochain "Patch Tuesday" aura lieu le 14 septembre. Au programme, 9 bulletins de sécurité (4 critiques et 5 importants) concernant Windows et Office.

- Cybercriminalité / Attaques :

Des pirates ont mené une attaque [26] assez ingénieuse en imitant les pages d’avertissement des navigateurs web afin de pousser les internautes à télécharger et à installer leurs malwares...

Un nouveau cheval de Troie [27] ciblant la plateforme Androïd a été découvert. Celui-ci utilise les techniques SEO (Search Engine Optimization) afin d’apparaître dans les premiers résultats des moteurs de recherche.

Un ver se propageant via d’anciennes techniques [28] a fait son apparition. Transmis par courriel/pourriel, il scanne le carnet d’adresses du système de la victime afin d’envoyer de nouveaux mails. Il se recopie aussi sur des partages distants, ainsi que sur des supports de stockages externes...

Alors que plusieurs serveurs C&C du botnet "Cutwail/Pushdo" avaient été fermés par les professionnels de la sécurité, 5000 pourriels provenant des zombies du botnet auraient été envoyés [29]. Les pirates sont donc probablement déjà en train de le remettre sur pieds.

- Internationnal :

Une clef USB [30] contenant plus de 2000 documents appartenant à un officier anglais a été retrouvée dans la rue. Les 4 Go de données non chiffrés contenant des informations sensibles concernant le terrorisme, la gestion de crise, ou encore une liste de noms et des grades des officiers anglais pourraient se retrouver entre de mauvaises mains...

- Entreprises :

NSS Labs, une société spécialisée dans la sécurité vient d’annoncer vouloir lancer un nouveau site de vente en ligne de code d’exploitation [31]. Les chercheurs pourront ainsi mettre en vente leurs exploits, qui seront testés par NSS avant d’être mis à disposition des entreprises et autres acheteurs dont les identités seront préalablement validées. Seuls des codes permettant d’exploiter des failles de sécurité dont les correctifs ont été publiés seront mis en vente.

Enfin, nous vous rappelons que vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147

http://www.adobe.com/support/security/advisories/apsa10-02.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1151

https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/fileformat/adobe_cooltype_sing.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147

http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1147

http://www.adobe.com/support/security/advisories/apsa10-02.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1160

http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_with_stolen_certificate

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1162

http://www.metasploit.com/redmine/projects/framework/repository/revisions/10255

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0388

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0094

[7]
http://java.sun.com/javase/downloads/index.jsp

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1141

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1142

http://archives.neohapsis.com/archives/fulldisclosure/2010-09/0066.html

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1138

http://www.exploit-db.com/movie-maker-remote-code-execution-ms10-016/

http://www.exploit-db.com/exploits/14886/

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0286

http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010- 0265

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1137

http://www.exploit-db.com/moaub-5-microsoft-mpeg-layer-3-audio-stack-based-overflow/

http://www.exploit-db.com/exploits/14895/

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0449

http://www.microsoft.com//technet/security/Bulletin/MS10-026.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0480

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1144

http://www.exploit-db.com/moaub-6-hp-openview-nnm-webappmon-exe-execvp_nc-remote-code-execution/

http://www.exploit-db.com/exploits/14916/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1146

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1145

http://www.exploit-db.com/moaub-7-novell-netware-nwftpd-rmdrnfrdele-argument-parsing-buffer-overflow/

http://www.exploit-db.com/exploits/14928/

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1161

http://www.exploit-db.com/moaub-8-microsoft-office-visio-dxf-file-stack-overflow/

http://www.exploit-db.com/exploits/14944/

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0447

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0550

http://www.microsoft.com/france/technet/security/bulletin/MS10-028.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1681

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0254

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0256

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1158

http://www.exploit-db.com/moaub-9-mozilla-firefox-xslt-sort-remote-code-execution-vulnerability/

http://www.exploit-db.com/exploits/14949/

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0788

http://www.mozilla.org/security/announce/2010/mfsa2010-30.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1199

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1169

http://www.exploit-db.com/moaub-10-excel-rtd-memory-corruption/

http://www.exploit-db.com/exploits/14966/

[2Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0721

http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1246

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1176

http://www.exploit-db.com/moaub11-microsoft-office-word-sprmcmajority-buffer-overflow/

http://www.exploit-db.com/exploits/14971

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1015

http://www.microsoft.com/technet/security/bulletin/MS10-056.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1900

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1177

http://www.exploit-db.com/moaub12-adobe-acrobat-and-reader-pushstring-memory-corruption/

http://www.exploit-db.com/exploits/14982/

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0823

http://www.adobe.com/support/security/bulletins/apsb10-15.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2201

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1167

http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1132

http://blogs.technet.com/b/mmpc/archive/2010/09/01/rogue-msil-zeven-wants-a-piece-of-the-microsoft-security-essentials-pie.aspx

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1157

http://www.net-security.org/malware_news.php?id=1460

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1172

http://threatpost.com/en_us/blogs/new-email-worm-turns-back-clock-virus-attacks-090910

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1156

http://blog.trendmicro.com/pushdo-takedown-damages-botnet/

http://blog.trendmicro.com/new-fake-facebook-spam-waves-send-through-cutwailpushdo-botnet/

[3Ø]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1139

http://www.dailystar.co.uk/news/view/152395/Manchester-Police-dump-terror-secrets-in-the-street

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1174

http://www.forbes.com/forbes/2010/0927/technology-internet-hackers-nasdaq-nss-digital-arms-dealer.html

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1182


Voir les articles précédents

    

Voir les articles suivants